Im Jahr 2016 ereigneten sich erneut viele erfolgreiche Angriffe auf Nutzerdatenbanken, davon waren die wohl bekanntesten die Angriffe auf Yahoo und Dropbox. Dank neulicher Fortschritte in der Technologie von Grafikkarten (GPUs), aber auch von Software zum Knacken von Passwörtern, ist es mittlerweile auch für Privatpersonen erschwinglich geworden, Nutzerpasswörter im grossen Stil zurückzurechnen.

Etwas Hintergrund

Aufgrund der Tatsache, dass in den letzten 15 Jahren manche Angriffe auf Nutzerdatenbanken erfolgreich waren, begannen Softwareentwicklerinnen, Passwörter in reduzierter Form, den sogenannten Hashes, anstelle von Klartext zu speichern.

Hashes stellen die Ausgabe von gerichteten Algorithmen, den Hashfunktionen, dar. Das heisst, dass die Ausgabe dieser Algorithmen nur sehr schwer auf den ursprünglichen Eingabewert zurückzurechnen sind. Auf diese Weise können Programme die Authentizität von Passwörtern überprüfen, ohne diese selbst speichern zu müssen. Beispiele oft verwendeter Hashfunktionen sind MD5, SHA-1, SHA-256, SHA-512, NTLM oder eine Kombination dessen. Die Wikipediaartikel zu kryptologischen Hashfunktionen und Key Derivation Functions bieten einen guten Überblick über die Thematik, allerdings bevorzuge ich die Vorlesungen von Zulfikar Ramzan und Srinivas Devadas.

Damit sind jedoch nicht sämtliche Probleme gelöst. Nicht alle Hashfunktionen wurden zur sicheren Speicherung von Passwörtern entwickelt und viele davon besitzen Schwachstellen, wie häufige Kollisionen (wenn zwei verschiedene Eingabewerte den gleichen Ausgabewert besitzen) oder effizientere Berechnungsweisen, also Abkürzungen. Moderne Programme zur Berechnung von Passwörtern verwenden diese Schwachstellen, um Passwörter aus den Hashes zu berechnen, ohne die Hashfunktionen umkehren zu müssen.

Darüber hinaus sind Hashfunktionen deterministisch. Das heisst, wenn zwei Personen das gleiche Passwort verwenden, resultiert dies auch in einem identischen Hashwert. Sobald eine Angreiferin oder ein Angreifer den Hash zu einem Passwort kennt, werden alle Personen, die dieses Passwort verwenden, in Mitleidenschaft gezogen. Als Gegenmassnahme haben Entwicklerinnen begonnen, einen individuellen zufälligen Wert, das sogenannte Salt, zu jedem Passwort hinzuzufügen, bevor der Hash berechnet wird. Damit haben zwei unterschiedliche Personen einen anderen Hash, auch wenn sie dasselbe Passwort benützen.

Moderne GPU Architekturen werden für einen hohen Grad an Rechenparallelität entwickelt. Zur Zeit schafft es eine für Konsumentinnen geeignete Grafikkarte in der Grössenordnung von 1’000 simultanen Berechnungen auszuführen. Beispielsweise, gelingt es mit zwei aktuellen, herkömmlichen Grafikkarten die Hashfunktion NTLM ungefähr 27 Milliarden Mal in der Sekunde zu berechnen! In 2012, publizierte das Team MOSIX erstmals Software zum Bilden von grossen GPU Clustern, was praktisch unbegrenztes Skalieren der Hardware ermöglicht. So ist es möglich geworden, sogar Hashes mit Salt in absehbarer Zeit zu knacken, vorausgesetzt, die verwendete Hashfunktion kann leicht parallelisiert werden.

Angreiferinnen verwenden für Gewöhnlich eine Kombination verschiedenster Programme zum Berechnen von Passwörtern – die meisten davon sind frei erhältlich. Zur Zeit vermögen es die Programme John the Ripper und Hashcat verfügbare GPUs zu verwenden. Andere Programme sind z.B. Ophcrack und Cain and Abel.

Strategien der Angreiferinnen

Menschen, die aus dem Knacken von Passwörtern Profit schlagen können, haben sich in den letzten Jahren zunehmends professionalisiert. Die hier präsentierten Strategien sind deshalb keineswegs abschliessend und bieten nur einen groben Überblick über das Feld.

Was die Hardware betrifft, verwenden Angreiferinnen alles zwischen einem Laptop und einem 128 GPU Rechencluster. Aufgrund der Tatsache, dass aktuelle GPUs kräftig und zugleich relativ günstig sind, können es sich mittlerweile auch Einzelpersonen leisten, geeignete Hardware zusammenzustellen.

Im Sinne der Kurzweiligkeit beschränken wir uns hier auf einen leistungsfähigen Desktopcomputer mit einer aktuellen Version von Hashcat. Das Programm Hashcat stellt mehrere Angriffsweisen zur Verfügung, kann mit vielen Hashfunktionen umgehen und verwendet automatisch alle verfügbaren CPUs und GPUs. Meiner Meinung nach ist diese Konfiguration gut dafür geeignet, die Effizienz heutiger Methoden vor Auge zu führen.

In den nachfolgenden Abschnitten werden wir versuchen, die Passwörter von sechs Personen zu knacken. Die Personen user1 und user2 verwenden jeweils eines der häufigsten Passwörter, user3 und user4 verwenden jeweils ein kurzes zufällig generiertes Passwort und user5 wie user6 verwenden ein leicht zu merkendes Passwortformat. Die Hashfunktion in diesem Fall ist SHA-1 ohne Salt.

1. user1 verwendet das Passwort hallo1 und den Hash d819b82566e9b601d87e168d0dffe31cee1a9229.
2. user2 verwendet das Passwort 1234567890 und den Hash 01b307acba4f54f55aafc33bb06bbbf6ca803e9a.
3. user3 verwendet das Passwort Xkkxer und den Hash a357d8269ef8f96973a98c820b2fb47251f11696.
4. user4 verwendet das Passwort Lf!lyASz und den Hash 338cb709d331e5bb6361300f59fcea03bec56111.
5. user5 verwendet das Passwort Martin90? und den Hash 1c15c4f9a0da91443205f58f5731a3c850c34b6d.
6. user6 verwendet das Passwort Bergsteiger2016! und den Hash 72bf66db2315e75dfb569ba3d3a09203e906c111.

Hashcat liest diese Daten aus der Textdatei hashes.txt im Format Nutzername:Hash.

Wörterbuchangriffe

Wörterbuchangriffe, oder Dictionary Angriffe, stützen sich auf Wortlisten und Regeln, um Passwortkandidaten zu finden. Dieser Angriffstyp liefert oftmals am schnellsten Resultate und deckt nach unserer Erfahrung etwa 10% bis 30% der Passwörter auf. Wörterbuchangriffe funktionieren, weil Menschen es bevorzugen, Passwörter aus bekannten Wörtern mit einfachen Variationen zu erstellen.

Die beliebteste Wortliste ist jene aus dem Rockyou Leak aus 2009, weil sie viele echte, englischsprachige Passwörter enthält. Wir bevorzugen jedoch zusätzlich eine Kombination aus lokalisierten und zielgerichteten Wortlisten.

Regeln werden dann dazu verwendet, die vorhandenen Wörter mit häufigen Variationen, wie zum Beispiel hallo90! oder Hallo” anzupassen. Die GitHub Repository von Hashcat stellt eine gute Liste von Regeln zur Verfügung.

Der folgende Befehl knackt die Passwörter der Personen user1, user2 und user5 binnen einiger Minuten, schlägt bei den anderen drei jedoch fehl.

$ hashcat -a 0 -m 100 -w 3 —username -r InsidePro-PasswordsPro.rule hashes.txt wordlists-dir/

Maskenangriffe

Ein beträchtlicher Prozentsatz von Nutzerinnen verwendet nach wie vor ein Passwort, das mit einem Grossbuchstaben beginnt, ein vollständiges Wort enthält und mit einer Zahl und/oder einem Sonderzeichen aufhört. Dieser Typ von Passwörtern ist meistens zwischen 8 und 10 Zeichen lang. Auffälligerweise erfüllt dieses Format ganz schön die standard Passwortvorgaben von Windows Domänen.

Von Nutzerinnen gewählte Passwörter folgen einem Muster. In Hashcat, können diese Muster als sogenannte Masken, z.B. ?u?l?l?l?l?d?d?s, ausgedrückt werden. In einem Maskenangriff führt Hashcat einen gezielten Bruteforce Angriff durch, das heisst, es werden alle möglichen Werte der vorgegebenen Maske durchprobiert. Dies ist effizienter als ein blosses Durchprobieren aller vorstellbarer Möglichkeiten.

Die GitHub Seite von Hashcat stellt bereits gute Masken zur Verfügung. Für nicht englischsprachige oder geschäftliche Umfelder, ist es oft von Nutzen, statistische Informationen über Passwörter oder eine bekannte Passwortvorgabe zu verwenden, um gute Passwortkandidaten zu finden. Die PACK Programme wurden speziell dafür entwickelt und sind von grosser Hilfe. In gewissen Fällen kann es helfen, bestehende Masken gegen eine Passwortvorgabe zu prüfen, um den Suchraum weiter einschränken zu können. Dafür habe ich das Paket Policymatch entwickelt. Feedback ist willkommen!

Der folgende Befehl errechnet das Passwort der Person user3 innert einer Minute.

$ hashcat -a 3 -m 100 -w 3 —username hashes.txt rockyou-1-60.hcmask

Um das Passwort des Person user4 zu errechnen bedurfte es mit ca, 72 Stunden etwas mehr geduld:

$ hashcat -a 3 -m 100 -w 3 —username hashes.txt 8char-1l-1u-1d-1s-compliant.hcmask

Hybridangriffe

Hashcat erlaubt es uns, die vorhergehenden Methoden in einem Hybridangriff zu kombinieren. Der folgende Befehl schafft es schlussendlich, das Passwort der letzten Person, user6 innert einer Viertelstunde zurückzurechnen. Dieser spezifische Angriff funktioniert gut, weil Personen oft ein Datum oder eine Jahreszahl im Passwort verwenden.

$ hashcat -a 6 -m 100 -w 3 —username hashes.txt wordlists-dir/ “?d?d?d?d?s”

Damit Geheimnisse auch solche bleiben

Als ein Beweis dafür, wer du bist, gehören Passwörter zu der Gruppe von was du alleine weisst. Aber weil man sich nur sehr schwer an Passwörter erinnern kann, eignen sie sich nicht wirklich als sichere Form der Authentisierung. An den vorhergehenden Beispielen stellen wir mit Schrecken fest, mit wie wenig Aufwand sogar als relativ sicher angesehene Passwörter geknackt werden können.

Aus der Perspektive der Nutzerinnen ist die beste Strategie, einen Passwortmanager wie z.B. KeePassX LastPass oder 1Password zu verwenden. Der wichtigste Aspekt von Passwortmanagern ist, dass sie Menschen erlauben, hochkomplexe Passwörter zu generieren und diese nie von Hand eingeben zu müssen. Meiner Meinung nach liefern die Talks von Pierre-Antoine Haidar-Bachminska und David Jaeger perfekte Einführungen in die Welt besserer Passwortstrategien.

Aus der Perspektive der Entwicklerinnen ist es zentral, dass Passwörter auf sichere Weise mit dafür gedachten Algorithmen gehandhabt und gespeichert werden. Für einen Überblick empfehle ich die OWASP Cheat Sheets zu Password Storage, Forgot Password, Authentication und Pinning. Für Interessierte verweise ich auf den Talk von Per Thorsheim.

Über die Autorin

Eleanore Young hat ihren Master in Elektrotechnik und Informationstechnologie im Jahr 2014 an der ETH Zürich abgeschlossen. Zu ihren Fachgebieten gehören Rechnerarchitekturen, Betriebssysteme sowie angewandte Forschung.

Links

• http://downloads.skullsecurity.org/passwords/rockyou.txt.bz2
• http://ophcrack.sourceforge.net/
• http://security.stackexchange.com/questions/4781/do-any-security-experts-recommend-bcrypt-for-password-storage#6415
• http://www.mosix.cs.huji.ac.il/txt_vcl.html
• http://www.openwall.com/john/
• http://www.oxid.it/cain.html
• https://1password.com/
• https://de.wikipedia.org/wiki/Kryptologische_Hashfunktion
• https://dropbox.thecthulhu.com/
• https://en.wikipedia.org/wiki/Key_derivation_function
• https://github.com/hashcat/hashcat
• https://github.com/youngec/policymatch
• https://hashcat.net/hashcat/
• https://thesprawl.org/projects/pack/
• https://www.keepassx.org/
• https://www.khanacademy.org/economics-finance-domain/core-finance/money-and-banking/bitcoin/v/bitcoin-cryptographic-hash-function
• https://www.lastpass.com/
• https://www.owasp.org/index.php/Authentication_Cheat_Sheet
• https://www.owasp.org/index.php/Forgot_Password_Cheat_Sheet
• https://www.owasp.org/index.php/Password_Storage_Cheat_Sheet
• https://www.owasp.org/index.php/Pinning_Cheat_Sheet
• https://www.wired.com/2016/12/yahoo-hack-billion-users/
• https://www.youtube.com/watch?v=KabAryo6tIA
• https://www.youtube.com/watch?v=KqqOXndnvic
• https://www.youtube.com/watch?v=dc-bF2CU0Xo
• https://www.youtube.com/watch?v=qdycF4j3Ux0